¿Cómo limitaría los permissions de sudo de usuarios para journalctl a una unidad específica?

Quiero proporcionar a nuestros usuarios acceso a journalctl de una unidad específica. Por ejemplo, httpd . Mi primer pensamiento fue especificar el command spec de esta manera:

 /usr/bin/journalctl -u httpd.service * 

Esto les dará acceso a opciones útiles tales como --full , --full , --follow , etc. Sin embargo, rápidamente notó que también les permitirá especificar una unidad diferente (por ejemplo, -u tomcat ).

¿Especificando cada una de las opciones aceptables es la única forma de hacer esto? ¿O puedo aprovechar algo como ACL en un file para get un acceso más granular?